.NET恶意软件滥用合法的ffmpeg

在恶意软件的作者中，有一种日益增长的趋势，即把合法的应用程序合并到他们的恶意包中。这次，我们分析了恶意软件下载合法软件ffmpeg．使用这个应用程序，这个用。net编写的简单间谍软件有了一个强大的特性。大多数恶意软件只要定期在受感染的机器上发送屏幕截图就足够了。这种恶意软件更进一步，记录完整的视频，监视用户活动。在这篇文章中，我们将看看这个样本所拥有的其他威胁。

首先提到的是恶意软件家族于2015年被MalwarHunterTeam发现．最近，一股新的浪潮正在蔓延。

分析样品

• 2 a07346045558f49cad9da0d249963f1使滴下的东西(JS)
  • 049年af19db6ddd998ac94be3147050217-删除可执行文件(c#)
    • 9 c9f9b127becf7667df4ff9726420ccb——加载程序
      • 85年d35dd33f898a1f03ffb3b2ec111132——最后的有效载荷

下载插件:

• e907ebeda7d6fd7f0017a6fb048c4d23——remotedesktop.dll
• d628d2a9726b777961f2d1346f988767——processmanager.dll

行为分析

JS文件将包含的可执行文件放到%TEMP%文件夹中，然后运行它。可执行文件以随机名称安装自己，在%APPDATA%中创建自己的文件夹。持久性是在运行键的帮助下实现的。附加的恶意软件拷贝也会被放在启动文件夹中:

在运行过程中，可执行文件在它的安装文件夹中创建。tmp文件。文件内容没有加密，如果我们看里面，我们可以注意到它是保存击键和记录运行的应用程序:

我们注意到的另一件有趣的事情是，恶意软件下载合法的应用程序:Rar.exe，ffmpeg.exe和相关的dll:DShowNet.dll，DirectX.Capture.dll

该恶意软件已经被观察到在运行时关闭和删除一些应用程序。在测试中，它移除了ProcessExplorer和baretail从被攻击的机器上。

网络通信

恶意软件使用98端口通过TCP与CnC服务器通信。

服务器向客户端发送一个命令" idjamel "，客户端响应该命令并收集有关受害机器的基本信息，如机器名/用户名、安装的操作系统和正在运行的进程列表。信标完成后，服务器将配置发送给客户端，即目标银行的列表。

Bot将配置保存在注册表中:

然后，CnC发送一组Base64编码的PE文件。每个文件的内容都以文件名作为前缀。非恶意的helper二进制文件cab可以通过关键字“djamelreference”来标识。恶意插件由" djamelplugin "识别。

下载DShowNET.dll：

下载插件-remotedesktop.dll（e907ebeda7d6fd7f0017a6fb048c4d23)：

的ffmpeg应用程序从URL下载(由CnC指向):

在这个地址后面，我们可以看到一些虚拟页面，可能是攻击者拥有的。脸书的“赞”按钮指向“AnonymousBr4zil”账户:

机器人向服务器报告正在运行的应用程序，即从标题栏发送Base64编码的文本:

例子:

awt | | UHJvY2VzcyBFeHBsb3JlciAtIFN5c2ludGVybmFsczogd3d3LnN5c2ludGVybmFscy5jb20gW3Rlc3RtYWNoaW5lXHRlc3Rlcl0 = djamel

解码:

进程资源管理器- Sysinternals: www.sysinternals.com [testmachine\tester]

内部

拆包

样品是在……的帮助下包装的CloudProtector-(感谢@MalwareHunterTeam的提示)。在我们前面分析的其他一些情况下使用的是相同的保护(阅读更多信息)在这里）.与前面的示例一样，它使用自定义算法和配置中提供的密钥解密有效负载。然后，在RunPE技术(也称为processholfollowing)的帮助下，将解密的可执行文件加载到内存中。

的核心

未打包的有效负载是包含所有恶意特性的层。它没有进一步混淆，所以我们可以很容易地反编译它(即使用dnSpy)并读取代码。

我们可以看到一些具有描述性名称的类，例如ProtectMe、ScreemCapture、SocketClient。

乍一看，我们可以看出这个恶意软件的目的:监视用户并从后门入侵受感染的机器。

Form1类是主要的模块，负责与CnC沟通，协调动作。它包含用于安装恶意软件的硬编码数据和CnC服务器的地址:

37.187.92.171:98

受害者名称从二进制文件中复制并保存在注册表项中:

如果机器人检测到e-Carte Bleue(一种法国支付卡)软件，它会将相应的字符串添加到标识符中，并向服务器发送额外的信息:

每个模块独立运行，在一个新的线程中启动:

视频录制

我们可以看到负责下载ffmpeg应用程序的代码片段:

恶意软件作者的主要目的是监视用户的银行活动。这就是为什么，当受害者打开一个与网上银行相关的网站时，视频记录事件就会被触发。目标列表由CnC提供，并保存在注册表中的“ve”键下，例如:

定期检查列表中的目标是否已在浏览器中打开。如果它被检测到，恶意软件部署录像机:

函数“VeifyingTime”将标题栏与提供的字符串进行比较。

视频是在ffmpeg应用程序:

之后，他们被发送到CnC，编码在Base64:

该恶意软件还可以制作简单的屏幕截图，并保存为JPG格式。图片和捕获的日志被Rar应用程序定期压缩，然后也发送到CnC:

键盘记录器

kyl类名代表键盘记录程序:

它还具有枚举打开的窗口的能力:

这个类负责创建前面提到的。tmp文件:

保护我

这个类负责禁用可能被用于监控恶意软件活动的应用程序:

插件

bot的基本功能可以通过其他插件进行扩展，从CnC下载:

在观察到的例子中，bot下载了两个插件，赋予了RAT病毒的典型功能:

processmanager.dl,写于2015年:

和remotedesktop.dll,写于2016年:

与主模块和前一个插件相反，remotedesk.dll是混淆视听。它的类名和变量名不再有意义:

结论

这个恶意软件是由一个没有经验的人编写的。二进制和通信协议都没有很好地混淆。使用过的封隔器是众所周知的，很容易破坏。然而，恶意软件功能丰富，它似乎是积极维护。它监视受害者和从后门窃取被攻击机器的能力不应被忽视，因为即使是一个简单的威胁行为者，当被忽视时也会造成很多损害。

这个恶意软件被必威平台APP作为后门。DuBled．